JP2005130121A - Network management apparatus, method, and program - Google Patents
Network management apparatus, method, and program Download PDFInfo
- Publication number
- JP2005130121A JP2005130121A JP2003362173A JP2003362173A JP2005130121A JP 2005130121 A JP2005130121 A JP 2005130121A JP 2003362173 A JP2003362173 A JP 2003362173A JP 2003362173 A JP2003362173 A JP 2003362173A JP 2005130121 A JP2005130121 A JP 2005130121A
- Authority
- JP
- Japan
- Prior art keywords
- dos attack
- traffic information
- function
- network management
- dos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、例えばIPネットワークを管理する装置、方法、プログラムに係り、特にDoS攻撃の有無を判別して適宜IPトレースバック逆探知パケットを送出するネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラムに関する。 The present invention relates to, for example, an apparatus, method, and program for managing an IP network, and more particularly, to a network management apparatus, a network management method, and a network management program that determine whether a DoS attack has occurred and appropriately transmit an IP traceback reverse detection packet.
従来、大量のデータや不正なパケットを送信し、サービスの提供を困難にさせるサービス妨害(Dos;Denial of service)攻撃が問題となっている。このDos攻撃では、特定のインターネットサーバに対して大量のパケットを送信することで、攻撃対象となるサーバをリソース不足に陥らせ、アクセス不能状態させるのが一般的な手法である。このDoS攻撃には、所定のツールが利用されるが、ツールにより攻撃対象や方法は異なる。 Conventionally, a denial of service (Dos) attack that makes it difficult to provide a service by transmitting a large amount of data or illegal packets has been a problem. In this Dos attack, a general method is to send a large number of packets to a specific Internet server, thereby causing the server to be attacked to run out of resources and make it inaccessible. A predetermined tool is used for this DoS attack, but the attack target and method differ depending on the tool.
代表的なツールとして、ICMP(Internet Control Message Protocol)によるエコー要求を実施するSmurf DosやSYN(synchronous)技術を用いるTFN等がある。多くの場合では、分散型DoS(DDos;Distributed Denial of service)攻撃と称される、異なるコンピュータからの攻撃を行うことから、攻撃元を特定するのは困難である。 As typical tools, there are Smurf Dos for executing an echo request by ICMP (Internet Control Message Protocol), TFN using SYN (synchronous) technology, and the like. In many cases, it is difficult to specify an attack source because an attack from a different computer called a distributed DoS (DDos) attack is performed.
このような問題に鑑みて、非特許文献1では、IPトレースバック逆探知パケット方式のトラヒック量と攻撃経路再構成時間の性能評価における逆探知パケット方式が開示されている。この方式では、IPオプショントレースバックにより、自律システム(AS;Autonomous System)単位で攻撃元と想定されるIPパケットを追跡し、通過AS情報をトレースパケットに格納し、その情報に基づいて攻撃元までの経路を構築している。
In view of such problems, Non-Patent
一方、特許文献1では、クライアント計算機から送られてくるアクセス要求パケットをサーバ計算機の代わりに受け付けるアクセス要求受付けと受け付けたアクセス要求パケットの正当性を検査し、正当性が認められた場合にのみサーバ計算機へパケットを転送する技術が開示されている。尚、この技術では、アクセス正当性検査手段として、アクセス要求パケットが一連の接続要求パケット、確認応答パケット及びデータ要求パケットであることを正当なアクセス要求条件として採用している。
上記非特許文献1に開示の技術では、攻撃元を特定するために、確率Pでトレースパケットを送信している。この確率Pは、トレースパケット数や攻撃経路の検出時間に影響を与える。即ち、確率Pが大きくなるとトレースパケット数を増加させる反面、トラヒックが増加する為、輻輳を引き起こす可能性が高まる。一方、確率Pが小さくなると、攻撃経路の検出時間の増加を引き起こすことになる。検出時間の長期化によりサービス不能となる可能性が高まるため、攻撃元の特定や攻撃回避といった対応が困難となり、被害が拡大する。また、この技術では、DoS攻撃か否かという判断は一切行われていない。
In the technique disclosed in
また、不特定のパケットにIPトレースバック逆探知パケットを送信することから精度には限界があり、精度を高める為にトレースパケットの生成確率を高めると、トレースパケット数が増加してしまい、輻輳を引き起こす可能性がある。 In addition, there is a limit in accuracy because IP traceback reverse detection packets are transmitted to unspecified packets. Increasing the generation probability of trace packets to increase accuracy increases the number of trace packets, resulting in congestion. May cause.
一方、上記特許文献1により開示された従来技術では、DoS攻撃に係るパケットが一連の接続要求パケットや確認応答パケット、データ要求パケットであった場合には、DoS攻撃の正当性を評価する事ができない点が問題となっている。
On the other hand, in the conventional technique disclosed in
本発明は、上記問題に鑑みてなされたもので、その目的とするところは、複数のエージェントの異なるポリシーによる総合的な判断により、IPネットワークにおけるDoS攻撃判定の精度を高め、経路検出時間の短縮を図り、更にはIPトレースバック逆探知パケットの送信数を軽減することでトラヒックへの影響を軽減することにある。 The present invention has been made in view of the above problems, and its object is to improve the accuracy of DoS attack determination in an IP network and shorten the route detection time by comprehensive judgment based on different policies of a plurality of agents. In addition, the influence on traffic is reduced by reducing the number of IP traceback reverse detection packet transmissions.
上記目的を達成するために、本発明の第1の態様では、複数の端末装置と共に情報通信網に接続され、当該端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置において、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理するトラヒック情報管理手段と、上記トラヒック情報管理手段により管理されているトラヒック情報と現在のトラヒック情報とを比較するトラヒック情報比較手段と、上記トラヒック情報比較手段により比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断するDoS判断手段と、上記DoS判断手段によりDoS攻撃と判断された場合に逆探知用パケットを送出する逆パケット送出手段と、を有することを特徴とするネットワーク管理装置が提供される。 In order to achieve the above object, according to a first aspect of the present invention, in a network management apparatus that is connected to an information communication network together with a plurality of terminal devices and manages traffic information of data transmitted from the terminal device, the terminal Traffic information management means for periodically collecting and managing device traffic information for each IP address, traffic information comparison means for comparing the traffic information managed by the traffic information management means with current traffic information, and A DoS determination means for determining a DoS attack when the difference between the two values compared by the traffic information comparison means is equal to or greater than a predetermined threshold, and a reverse detection packet when the DoS determination means determines a DoS attack. And a reverse packet transmission means for transmitting the network management device. It is provided.
本発明の第2の態様では、上記第1の態様において、上記閾値は、伝送レートに応じた定数であることを更に特徴とするネットワーク管理装置が提供される。 According to a second aspect of the present invention, there is provided the network management device according to the first aspect, further characterized in that the threshold value is a constant corresponding to a transmission rate.
本発明の第3の態様では、複数の端末装置と情報通信網を介して接続され、当該端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置において、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断するDoS判断手段を有することを特徴とするネットワーク管理装置が提供される。 In a third aspect of the present invention, in a network management device that is connected to a plurality of terminal devices via an information communication network and manages traffic information of data transmitted from the terminal device, the traffic information of the terminal device is transferred to the IP Periodically collecting and managing for each address, comparing the managed traffic information with the current traffic information, and determining that the difference between the two values, which are the comparison results, is greater than or equal to a predetermined threshold value, a DoS attack The first function in which the increase / decrease in the number of links to the home page is further added as a DoS attack judgment condition, and the DoS attack history is managed for each IP address. The presence of a DoS attack depends on the second function for determining the presence or absence of an attack and the description content of the payload of the data received from the terminal device. The DoS attack is performed using at least one of the third function for determining the resource and the fourth function for monitoring the server resources that can be attack targets in the own domain and determining the presence or absence of the DoS attack. There is provided a network management apparatus having DoS determination means for determining presence or absence.
本発明の第4の態様では、上記代3の態様において、上記DoS判断手段は、上記第1乃至第4の機能による判断結果をコスト値に変換するコスト値変換手段と、上記各コスト値に、IPアドレス、ポート番号又はアプリケーションに応じた定数を乗算した値の総和を総数として算出する総数算出手段と、を更に有し、上記総数に応じてDoS攻撃を判断することを更に特徴とするネットワーク管理装置が提供される。 According to a fourth aspect of the present invention, in the third aspect, the DoS determination means includes a cost value conversion means for converting the determination results by the first to fourth functions into a cost value, and each of the cost values. And a total number calculating means for calculating a total sum of values obtained by multiplying IP addresses, port numbers or constants according to applications, and further determining a DoS attack according to the total number. A management device is provided.
本発明の第5の態様では、上記第3又は第4の態様において、上記DoS判断手段は、 上記トラヒック情報管理手段により管理されているトラヒック情報と現在のトラヒック情報を比較し、両値の差分が予め定められた閾値以上の場合、外部装置に現在及びそれ以降のトラヒック情報を管理させる手段を更に有し、当該外部装置にてDoS攻撃を判断することを更に特徴とするネットワーク管理装置が提供される。 According to a fifth aspect of the present invention, in the third or fourth aspect, the DoS determination means compares the traffic information managed by the traffic information management means with the current traffic information, and compares the difference between the two values. Provided is a network management device further comprising means for causing the external device to manage current and subsequent traffic information when the value is equal to or greater than a predetermined threshold, and further determining a DoS attack in the external device. Is done.
本発明の第6の態様では、情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置によるネットワーク管理方法において、上記ネットワーク管理装置が、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報とを比較し、比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断し、逆探知用パケットを送出することを特徴とするネットワーク管理方法が提供される。 According to a sixth aspect of the present invention, in the network management method by the network management device that manages the traffic information of the data transmitted from the terminal device connected via the information communication network, the network management device includes: Traffic information is periodically collected and managed for each IP address, the managed traffic information is compared with the current traffic information, and if the difference between the two values compared is equal to or greater than a predetermined threshold, a DoS attack And a network management method characterized by transmitting a reverse detection packet.
本発明の第7の態様では、情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置によるネットワーク管理方法において、上記ネットワーク管理装置が、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断することを特徴とするネットワーク管理方法が提供される。 According to a seventh aspect of the present invention, in the network management method by the network management device for managing the traffic information of the data transmitted from the terminal device connected via the information communication network, the network management device includes: When traffic information is periodically collected and managed for each IP address, the managed traffic information is compared with the current traffic information, and the difference between the two values as a comparison result is greater than or equal to a predetermined threshold value A function for determining a DoS attack, the first function in which the increase / decrease in the number of links to the homepage is further added as a DoS attack determination condition, and the DoS attack history is managed for each IP address. A second function for determining the presence / absence of a DoS attack according to the frequency, and a payload of data received from the terminal device; At least one of a third function for determining the presence or absence of a DoS attack and a fourth function for monitoring a server resource that can be an attack target in the own domain and determining the presence or absence of a DoS attack There is provided a network management method characterized by determining the presence or absence of a DoS attack using a single function.
本発明の第8の態様では、情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置に用いるネットワーク管理プログラムにおいて、上記ネットワーク管理装置が、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報とを比較し、比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断し、逆探知用パケットを送出する、ためのネットワーク管理プログラムが提供される。 According to an eighth aspect of the present invention, in the network management program used for the network management apparatus that manages the traffic information of the data transmitted from the terminal apparatus connected via the information communication network, the network management apparatus includes the terminal apparatus. Traffic information is periodically collected and managed for each IP address, the managed traffic information is compared with the current traffic information, and the difference between the two values compared is equal to or greater than a predetermined threshold. A network management program for determining an attack and transmitting a reverse detection packet is provided.
本発明の第9の態様では、情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置に用いるネットワーク管理プログラムにおいて、上記ネットワーク管理装置が、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断するためのネットワーク管理プログラムが提供される。 According to a ninth aspect of the present invention, in the network management program used for the network management apparatus that manages the traffic information of the data transmitted from the terminal apparatus connected via the information communication network, the network management apparatus includes the terminal apparatus. When the traffic information is periodically collected and managed for each IP address, the managed traffic information is compared with the current traffic information, and the difference between the two values as a comparison result is equal to or greater than a predetermined threshold value A function for determining a DoS attack, a first function in which increase / decrease in the number of links to the homepage is further added as a DoS attack determination condition, and a DoS attack history is managed for each IP address, and a DoS attack for a certain period of time The second function for determining the presence or absence of a DoS attack according to the frequency of the data, and the data received from the terminal device At least one of a third function for determining the presence or absence of a DoS attack based on the description content of the payload and a fourth function for monitoring a server resource that can be an attack target in its own domain and determining the presence or absence of a DoS attack A network management program for determining the presence or absence of a DoS attack using one function is provided.
本発明によれば、複数のエージェントの異なるポリシーによる総合的な判断により、IPネットワークにおけるDoS攻撃判定の精度を高め、経路検出時間の短縮を図り、更にはIPトレースバック逆探知パケットの送信数を軽減することでトラヒックへの影響を軽減するネットワーク管理装置及びネットワーク管理方法を提供することができる。 According to the present invention, the accuracy of DoS attack determination in an IP network is improved by comprehensive judgment based on different policies of a plurality of agents, the route detection time is shortened, and the number of IP traceback reverse detection packets transmitted is reduced. It is possible to provide a network management apparatus and a network management method that reduce the influence on traffic by reducing the traffic.
以下、図面を参照して、本発明の一実施の形態について説明する。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
先ず、図1には、本発明の一実施の形態に係るネットワーク管理装置の概念図を示し説明する。尚、ネットワーク管理装置は、サーバ1A又は1Bに相当する。
FIG. 1 is a conceptual diagram of a network management apparatus according to an embodiment of the present invention. The network management device corresponds to the
図1に示されるように、AS4内では、複数のルータ3A乃至3Dが通信自在に接続されている。これらルータ3A乃至3Dのうち、エッジノードであるルータ3Aは外部の情報通信網(ネットワーク)5に接続されており、当該ルータ3Aにはトラヒック情報を監視するサーバ1Aが通信自在に接続されている。サーバ1Aは、周期的に収集されたトラヒック情報をトラヒックパターンとして格納する為のデータベース(以下、これをDBと略記する)2Aと接続されている。ルータ3Aは、ネットワークドメイン内部又は外部のサーバ1Bとも通信自在に接続されている。当該サーバ1BはDoS攻撃対象候補となったトラヒック情報を格納するDB2Bと接続されている。本実施の形態では、サーバ1Bには、DoS攻撃の特定やDB2Bに格納されたトラヒック情報の対処を決定するDoS攻撃判別エージェントが常駐している。このエージェントについては後述する。
As shown in FIG. 1, a plurality of
このような実施の形態に係るネットワーク管理装置は、例えばサーバ1A,1B等が以下のような作用を奏する。即ち、より具体的には、例えばサーバ1A又は1Bのいずれかにおいて、ネットワーク5を介して接続された外部の端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報とを比較し、比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断した場合には、逆探知用パケットを送出する。
In the network management apparatus according to such an embodiment, for example, the
尚、この閾値は、伝送レートに応じた定数であることとしてもよい。 The threshold value may be a constant corresponding to the transmission rate.
或いは、例えばサーバ1A又は1Bのいずれかにおいて、ネットワーク5を介して接続された端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加したリンクエージェント機能と、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断するFrequenyエージェント機能と、上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断するAppcheckエージェント機能と、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断するSrvrMonitorエージェント機能と、の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断する。
Alternatively, for example, in either the
さらに、詳細は後述するが、サーバ1A又は1Bのいずれかにおいて、これら機能による判断結果をコスト値に変換し、上記各コスト値に、IPアドレス、ポート番号又はアプリケーションに応じた定数を乗算した値の総和を総数として算出し、上記総数に応じてDoS攻撃を判断する。また、一のサーバ(例えばサーバ1A)で管理されているトラヒック情報と現在のトラヒック情報を比較し、両値の差分が予め定められた閾値以上の場合には、外部装置としての他のサーバ(例えばサーバ1B)に現在及びそれ以降のトラヒック情報を管理させ、当該外部装置にてDoS攻撃を判断する。以上のような作用は、ネットワーク管理装置としてのサーバ1A,1B、或いは不図示の他のサーバにより単独で、或いは複数のサーバが協働して奏するものであることは勿論である。
Furthermore, although details will be described later, in either the
次に、図2,3には、サーバ1A,1Bの構成を更に具現化して示し説明する。
Next, FIGS. 2 and 3 further illustrate and explain the configurations of the
尚、以下に説明する各サーバ1A,1Bの有する機能は、説明の便宜上、一例として特定したに過ぎず、互いの機能を入れ換えたり、一部機能を協働させることもできる。
Note that the functions of the
先ず、図2に示されるように、このサーバ1Aは、トラヒック収集機能11、トラヒック比較機能12、トラヒックパターン作成機能13、トラヒックパターン収集・格納機能14、通信機能15、トラヒック判断機能16を有している。
First, as shown in FIG. 2, the
トラヒック収集機能11及びトラヒックパターン収集・格納機能14は、DB2Aと通信可能である。通信機能15は、サーバ1B、外部のネットワーク5を介して不図示の複数の端末装置と通信可能である。
The
このような構成において、トラヒック収集機能11は、IPアドレス毎のトラヒック情報を周期的に収集する。トラヒックパターン作成機能13は、この収集したトラヒック情報について、日、週、月、年毎の伝送レートの変化をIPアドレス毎にトラヒックパターンとして作成する。トラヒックパターン収集・格納機能14は、当該トラヒックパターンをDB2Aに格納する。トラヒック比較機能12は、サーバ1Aが収集した送信元アドレス毎の伝送レートとDB2Aに格納されたトラヒックパターンとを比較する。トラヒック判断機能16は、この判断の結果を受け、両者の間に所定値以上の差が発生した場合には、更にDos攻撃の有無を判断するために、通信機能15を介してIPパケットを自ネットワークドメイン内/外に設置されたサーバ1Bを経由してDB2Bに格納する。このとき、即ち、Dos攻撃であると判断した場合に、IPトレースバック逆探知用パケットを送出するようにすることも可能である。尚、上記所定値とは、伝送レートに応じて予め決められた定数であるが、これに限定されないことは勿論である。
In such a configuration, the
ここで、請求項に記載のトラヒック情報管理手段とはトラヒック収集機能11、トラヒックパターン作成機能13、トラヒック収集・格納機能14等に相当し、トラヒック情報比較手段とはトラヒック比較機能12に相当し、Dos判断手段とはトラヒック判断機能16等に相当し、逆パケット送出手段とは通信機能15等に相当する。但し、これら関係には限定されないことは勿論である。
Here, the traffic information management means described in the claims corresponds to the
次に図3に示されるように、サーバ1Bは、トラヒック収集・格納機能21、リンクエージェント機能22、フリクエンシ(以下、Frequencyとする)エージェント機能23、アプリケーションチェック(以下、Appcheckとする)エージェント機能24、サーバモニタ(以下、SrvrMonitorとする)エージェント機能25、通信機能26、ランキング/コスト値決定機能27、補正値決定機能28を有する。即ち、サーバ1Bは、DoS攻撃を判断する為に、協働する各種のエージェント機能22乃至25を有している。
Next, as shown in FIG. 3, the
このような構成において、トラヒック収集・格納機能21は、IPアドレス毎のトラヒック情報を周期的に収集し、DB2Bに格納する。ランキング/コスト値決定機能27は、詳細は後述するが、ランキングとコスト値とを対応付けたテーブルを参照して、ランキングに対応するコスト値を決定する。リンクエージェント機能22は、定期的に収集されたリンクパターンの変化やリンク数により規定値の信頼性を判断する。Frequencyエージェント機能23は、過去にDoS攻撃を仕掛けてきたIPアドレスを記録し、一定期間におけるDoS攻撃の頻度によりDoS攻撃の可能性を判断する。
In such a configuration, the traffic collection /
そして、Appcheckエージェント機能24は、上記サーバ1Aより収集されたIPパケットのペイロードの記述内容によりDoS攻撃の可能性を判断する。SrvrMonitorエージェント機能25は、自ドメイン内の攻撃対象となり得るWebサーバやFTPサーバ、メールサーバのリソースを管理し、DoS攻撃の可能性を判断する。そして、補正値決定機能28は、前述したような各種エージェント22乃至25の判断結果に基づいて、詳細は後述するが、コスト補正用定数(補正値)、総数を決定する。
Then, the
尚、請求項に記載の第1の機能とはリンクエージェント機能22等に相当し、第2の機能とはFrequencyエージェント機能23等に相当し、第3の機能とはAppcheckエージェント機能24等に相当し、第4の機能とはSrvrMonitorエージェント機能25等に相当する。そして、Dos判断手段とは、ランキング/コスト値決定機能27、補正値決定機能28等を含む広い概念である。さらに、請求項に記載のコスト値変換手段とはランキング/コスト値決定機能27等に相当し、総数算出手段とは補正値決定機能28等に相当するものである。但し、これらの関係には限定されない。
The first function described in the claims corresponds to the
以下、図4のフローチャートを参照して、上記構成による作用を詳述する。 Hereinafter, the operation of the above configuration will be described in detail with reference to the flowchart of FIG.
これは、本実施の形態に係るネットワーク管理方法に相当する。或いは、本実施の形態に係るネットワーク管理プログラムのアルゴリズムに相当する。 This corresponds to the network management method according to the present embodiment. Or, it corresponds to the algorithm of the network management program according to the present embodiment.
先ず、サーバ1Aは、外部のネットワーク5に接続されているエッジノードにて、トラヒック収集機能11により、IPアドレス毎のトラヒック情報を周期的に収集する(ステップS1)。このサーバ1Aが収集する情報には、例えば、日、月、周、年毎のトラヒック情報がある。そして、このトラヒック情報には、例えば図7に示されるように、送信元アドレス、宛先アドレス、測定時刻、伝送レート等が含まれている。
First, the
そして、サーバ1Aは、トラヒックパターン作成機能13により、収集した各種情報を基にして、日、週、月、年毎の伝送レートの変化をIPアドレス毎にトラヒックパターンとして作成し、トラヒックパターン収集・格納機能14により、DB2Aに格納する(ステップS2)。トラヒックパターンは、例えば図8に示される通りであり、送信元アドレス、宛先アドレス、トラヒックの変化(1日、週、月、年)、Dos攻撃の可能性を判断するための閾値を含んでいる。但し、これには限定されない。
Then, the
続いて、サーバ1Aは、DoS攻撃の判別を行う。即ち、トラヒック比較機能12により、サーバ1Aが収集した送信元アドレス毎の伝送レートとDB2Aに格納されたトラヒックパターンとを比較し(ステップS3,S4)、両者の間に所定値(伝送レートに応じて予め決められた定数)以上の差が発生した場合には、通信機能15により、IPパケットを自ネットワークドメイン内/外に設置されたサーバ2Aを経由してDB2Bに格納する。DB2Bに格納するIPパケットは、自ネットワークドメイン内へ流入するトラヒック全て、一部或いは所定値以上の差が発生したIPアドレスである。
Subsequently, the
尚、サーバ1Aが単独で処理する場合においては、上記比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断した場合に、所定の逆探知用パケットを送出するようにしてもよいことは勿論である。
When the
次いで、通信機能26及びトラヒック収集・格納機能21によりDB2Bに収集されたIPパケットに対して、サーバ1Bが有する、異なるポリシーを持つ複数のDoS攻撃判別エージェント機能22乃至25が協調し、上記DB2Bに格納されているトラヒックに対して、DoS攻撃の判定を実施する(ステップS5乃至ステップS11)。即ち、DoS攻撃判別エージェントとしての、リンクエージェント機能22、Frequencyエージェント機能23、Appcheckエージェント機能24、SrvrMonitorエージェント機能25は、それぞれのアルゴリズムに基づいて、DoS攻撃の可能性を判定する。
Next, for the IP packets collected in the
以下、各エージェント機能について更に詳細に説明する。 Hereinafter, each agent function will be described in more detail.
リンクエージェント機能22は、インターネット上のWebページのリンク数及びリンク数の変化によりDoS攻撃に対する判定の信頼度をランキング化するものであり、過去のリンク数と現在のリンク数の変化が所定の閾値以下ならばDoS攻撃と判断する。一般に、トラヒックパターンと現行トラヒックの伝送レートに一定以上の差がある場合、DoS攻撃の可能性がある反面、誤差或いはアクセス数の増加に起因するトラヒック増の可能性がある。そこで、リンクエージェント機能22では、Webページのリンク数やリンク数の変化によりDoS攻撃の可能性を検討する。Webページに張られているリンク数は重要度/人気度を示すパラメータであり、リンク数が多い程その重要度/人気度は高くなる。インターネット上のWebページのリンク数やリンク数の変化を周期的に収集し、リンクパターンとしてDB2Bに記録する。
The
このリンクパターンは、例えば図9に示される通りであり、送信元アドレス、宛先アドレス、測定時刻、リンクパターン(日、週、月、年)が含まれている。このようなリンクパターンより傾向を判断し、DoS攻撃の可能性をランキングする。 This link pattern is as shown in FIG. 9, for example, and includes a transmission source address, a destination address, measurement time, and a link pattern (day, week, month, year). A tendency is judged from such a link pattern, and the possibility of DoS attack is ranked.
ランキング換算表は、例えば図10に示される通りであり、ランクA(DoS攻撃の可能性大;コスト値A)、ランクB(DoS攻撃の可能性中;コスト値B)、ランクC(DoS攻撃の可能性小;コスト値C)、及びランクD(DoS攻撃の可能性極めて低い;コスト値D)に分けられる。即ち、リンクエージェント機能22は、図8よりトラヒックの変化を検出し、平均的なトラヒックの変化との相対的な評価で予め定められた図9のランキング換算表を参照して、対応するコスト値を決定することになる。
The ranking conversion table is, for example, as shown in FIG. 10, and rank A (possibility of DoS attack; cost value A), rank B (possibility of DoS attack; cost value B), rank C (DoS attack). ); Cost value C), and rank D (very unlikely DoS attack; cost value D). That is, the
一方、Frequencyエージェント機能23は、過去に自ドメイン/他ドメインに対してDoS攻撃を仕掛けてきたIPアドレスを記録し、一定期間において自ドメイン/他ドメインに攻撃を仕掛けた頻度が閾値を超えた場合、DoS攻撃と判断する。
On the other hand, the
一般に、DoS攻撃を仕掛ける場合、インターネット上のコンピュータを踏み台とする場合が多く、踏み台とされるコンピュータはセキュリティレベルが低いと考えられる。セキュリティ管理には、高度な知識と技術が必要であり、これらが不足していると、頻繁に踏み台にされる可能性が高い。そこで、Frequencyエージェント機能23は、過去の自ドメインに対する攻撃頻度をIPアドレス毎に記録し、一定期間におけるその頻度によりDoS攻撃の可能性を検討する。この過去の自ドメインに対する攻撃頻度は、例えば図11に示される通りであり、送信元アドレス、宛先アドレス、測定期間、攻撃回数が対応付けられている。ランキング換算表は、図12に示される通りであり、平均的な攻撃回数との相対的な評価で、段階的にランク及び対応するコスト値を予め定めている。
In general, when a DoS attack is carried out, a computer on the Internet is often used as a platform, and the computer used as a platform is considered to have a low security level. Security management requires a high level of knowledge and technology, and if these are lacking, there is a high possibility of being frequently used as a stepping stone. Therefore, the
即ち、図12の例では、攻撃頻度が高いIPアドレスをランクA(コスト値A)、攻撃頻度が中程度のIPアドレスをランクB(コスト値B)、攻撃頻度が低いIPアドレスをランクC(コスト値C)、及び過去に攻撃を仕掛けていないIPアドレスをランクD(コスト値D)としている。Frequencyエージェント機能23は、図11より攻撃頻度等を把握した上で、ランキング/コスト値決定機能27を用いて、図12のランキング換算表を参照して、コスト値を決定することになる。
That is, in the example of FIG. 12, the IP address with a high attack frequency is rank A (cost value A), the IP address with a medium attack frequency is rank B (cost value B), and the IP address with a low attack frequency is rank C ( Cost value C) and IP addresses that have not been attacked in the past are rank D (cost value D). The
Appcheckエージェント機能24は、IPアドレス全て或いは一部で取り出したIPアドレスに対して、ペイロードの記述内容の検査を実施し、DoS攻撃を判別する。多くの場合、DoS攻撃にDoS攻撃ツールが用いられるが、このようなルーツを利用したDoS攻撃の場合には、ペイロードを検査する(例えば、パターンマッチング等)ことで発見することができる。そこで、Appcheckエージェント機能24は、DB2Bに格納されているIPアドレス全て或いは一部で取り出したIPアドレスに対してペイロードの検査を実施する。IPv4ヘッダフォーマット、IPv6ヘッダフォーマットの構成は、図5及び図6に示される通りであり、IPv4であれば図5にデータ(Data)と示した部分を、IPv6であれば図6にPayroad(データ)と示した部分を検査する。
The
尚、この各フォーマットは一般的であるので、これ以上の説明は省略する。 Since each format is general, further explanation is omitted.
この検査の結果は、例えば図13に示されるようになり、Dos攻撃タイプとDos攻撃用判別パターンが対応付けられる。尚、ランキング換算表は、図14に示され、DoS攻撃用パケットと判断されたIPパケットはランクA(コスト値A)とし、Dos攻撃用パケットではない場合はランクD(コスト値D)と予め定めている。 The result of this inspection is as shown in FIG. 13, for example, and the Dos attack type and the Dos attack discrimination pattern are associated with each other. The ranking conversion table is shown in FIG. 14. An IP packet determined to be a DoS attack packet is rank A (cost value A), and if it is not a Dos attack packet, rank D (cost value D) is set in advance. It has established.
つまり、Appcheckエージェント機能24は、図13よりDos攻撃タイプとDos攻撃用判別パターンを検出し、ランキング/コスト値決定機能27を用いて、図14のランキング換算表を参照してコスト値を決定することになる。
That is, the
SrvrMonitorエージェント機能25は、自ドメイン内の攻撃対象となるサーバの状態を監視し、DoS攻撃を判断する。より具体的には、TCPパケットに対するSynパケットの割合が閾値以上場合、或いは受信したIPアドレスに違法性(例えば、顧客以外のIPパケット)があると判断された場合、DoS攻撃と判断する。一般に、Dos攻撃には、SYN技術やICMPエコー要求を利用したものがある。
The
サーバ1Bは、顧客IPアドレスとポート番号の関係を図15に示されるようなテーブルで管理している。サーバ1Bは、TCPパケットに対するSynパケットの割合の監視や顧客IPアドレスと受信IPアドレスの比較を実施し、図16に示されるようなテーブルを作成する。そして、このテーブルよりDos攻撃の可能性を判定する。ランキング換算表は、図17に示される通りである。即ち、このランキングは、ランクA(Dos攻撃の可能性大;閾値A、コスト値E)、ランクB(Dos攻撃の可能性中;閾値B、コスト値F)、ランクC(Dos攻撃の可能性小;閾値C、コスト値G)、及びランクD(Dos攻撃の可能性が極めて低い;閾値D、コスト値H)に分けられる。SrvrMonitorエージェント機能25は、ランキング/コスト値決定機能27を用いて、図17のランキング換算表を参照してコスト値を決定する。
The
以上のように、各エージェント機能22乃至25による各判定はランキングされ、それに対応したコスト値が決定される。そして、補正値決定機能28は、図18のテーブルを参照して、コスト補正用定数α,β,γ,θを算出し、各エージェント22乃至25の算出したコスト値の総和をGとし、Gの値によりIPアドレスに対する処置を決定する。
As described above, each determination by the agent functions 22 to 25 is ranked, and a cost value corresponding to the determination is determined. Then, the correction
ここで、総和Gは、
G=αCost(リンクエージェント)+βCost(Frequencyエージェント)
+γCost(Appcheckエージェント)+θCost(SrvrMonitorエージェント)
で表され、α、β、γ及びθは、例えばIPアドレス、ポート番号、アプリケーションの種類等により特定されるアクセス先(例えば、HTTPサーバ、MailサーバあるいはFTPサーバ等)により変化する定数(0を含む)である。
Here, the total sum G is
G = αCost (link agent) + βCost (Frequency agent)
+ ΓCost (Appcheck agent) + θCost (SrvrMonitor agent)
Α, β, γ, and θ are constants (0) that change depending on an access destination (for example, an HTTP server, a Mail server, or an FTP server) specified by, for example, an IP address, a port number, and an application type. Included).
例えば、以下のような対処が考えられる。 For example, the following measures can be considered.
G=00〜20:DB2Bに格納したトラヒックを自ネットワークに転送
G=21〜40:ユーザ/管理者に対してDoS攻撃の可能性を通知
G=41〜80:ユーザ/管理者への通知及びトレースパケットの送信
G=81 :ユーザ/管理者への通知、トレースパケットの送信及び廃棄
一例として、DB2Bに格納されたIPアドレスに対して、リンクエージェントがコスト値30(ランクB)、Frequencyエージェントがコスト値40(ランクA)、Appcheckエージェントがコスト値0(ランクD)、SrvrMonitorエージェントがコスト値0(ランクD)と判断し、α=β=γ=θ=1である場合には、総数Gは、
G=30+40+0+0=70
となる。この場合には、上記対処に従い、サーバ1Bは、ユーザ/管理者への通知及びIPトレースバック逆探知パケットの送信を実施することになる。
G = 00-20: Forward traffic stored in DB2B to own network G = 21-40: Notify user / administrator of possibility of DoS attack G = 41-80: Notify user / administrator and Transmission of trace packet G = 81: Notification to user / administrator, transmission and discard of trace packet As an example, for the IP address stored in DB2B, the link agent has a cost value of 30 (rank B), and the Frequency agent has When the cost value is 40 (rank A), the Appcheck agent determines that the cost value is 0 (rank D), and the SrvrMonitor agent determines that the cost value is 0 (rank D), and α = β = γ = θ = 1, the total number G Is
G = 30 + 40 + 0 + 0 = 70
It becomes. In this case, in accordance with the above countermeasure, the
このように、サーバ1Bは、このDoS攻撃判別エージェントの判定により、IPトレースバック逆探知パケットの送信、管理者/ユーザへの通知、パケット廃棄のユーザへの送信を適宜実施する(ステップS12乃至S14)。
As described above, the
以上説明したように、本発明の実施の形態によれば、複数のポリシーによる総合的な判断により、DoS攻撃判定の精度を高めることができる。また、DoS攻撃の有無を判定してから、トレースパケットを生成するため、トレースパケットの送信数を軽減でき、ネットワークに対する負荷を小さくすることができる。 As described above, according to the embodiment of the present invention, the accuracy of DoS attack determination can be increased by comprehensive determination based on a plurality of policies. Further, since the trace packet is generated after determining the presence or absence of the DoS attack, the number of trace packets transmitted can be reduced, and the load on the network can be reduced.
尚、本発明は、上記実施の形態に限定されることなく、その主旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、Dos攻撃判定のために協働するエージェントは、前述したものには限定されない。 Of course, the present invention is not limited to the above-described embodiment, and various modifications and changes can be made without departing from the spirit of the present invention. For example, the agents that cooperate for Dos attack determination are not limited to those described above.
1A,1B・・・サーバ、2A,2B・・・DB、3A〜3D・・・ルータ、4・・・AS、5・・・ネットワーク、11・・・トラヒック格納機能、12・・・トラヒック比較機能、13・・・トラヒックパターン作成機能、14・・・トラヒックパターン収集・格納機能、15・・・通信機能、21・・・トラヒック収集・格納機能、22・・・リンクエージェント機能、23・・・Frequencyエージェント機能、24・・・Appcheckエージェント機能、25・・・SrvrMonitorエージェント機能、26・・・通信機能、27・・・ランキング/コスト値決定機能、28・・・補正値決定機能。 1A, 1B ... Server, 2A, 2B ... DB, 3A-3D ... Router, 4 ... AS, 5 ... Network, 11 ... Traffic storage function, 12 ... Traffic comparison Function, 13 ... Traffic pattern creation function, 14 ... Traffic pattern collection / storage function, 15 ... Communication function, 21 ... Traffic collection / storage function, 22 ... Link agent function, 23 ... Frequency agent function, 24 ... Appcheck agent function, 25 ... SrvrMonitor agent function, 26 ... communication function, 27 ... ranking / cost value determination function, 28 ... correction value determination function.
Claims (9)
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理するトラヒック情報管理手段と、
上記トラヒック情報管理手段により管理されているトラヒック情報と現在のトラヒック情報とを比較するトラヒック情報比較手段と、
上記トラヒック情報比較手段により比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断するDoS判断手段と、
上記DoS判断手段によりDoS攻撃と判断された場合に逆探知用パケットを送出する逆パケット送出手段と、
を有することを特徴とするネットワーク管理装置。 In a network management device that is connected to an information communication network together with a plurality of terminal devices and manages traffic information of data transmitted from the terminal device,
Traffic information management means for periodically collecting and managing the traffic information of the terminal device for each IP address;
Traffic information comparison means for comparing the traffic information managed by the traffic information management means with the current traffic information;
A DoS determination means for determining a DoS attack when the difference between the two values compared by the traffic information comparison means is equal to or greater than a predetermined threshold;
Reverse packet sending means for sending a reverse detection packet when the DoS judging means judges a DoS attack;
A network management apparatus comprising:
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、
DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、
上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、
自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、
の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断するDoS判断手段を有することを特徴とするネットワーク管理装置。 In a network management device that is connected to a plurality of terminal devices via an information communication network and manages traffic information of data transmitted from the terminal device,
The traffic information of the terminal device is periodically collected and managed for each IP address, the managed traffic information is compared with the current traffic information, and the difference between the two values as a comparison result is equal to or greater than a predetermined threshold value. A first function in which a DoS attack is determined as a DoS attack determination condition, and an increase / decrease in the number of links to the homepage is further added as a DoS attack determination condition;
A second function for managing a DoS attack history for each IP address and determining the presence or absence of a DoS attack based on the frequency of DoS attacks over a certain period;
A third function for determining the presence or absence of a DoS attack based on the description content of the payload of data received from the terminal device;
A fourth function for monitoring the resources of servers that can be attack targets in its own domain and determining the presence or absence of a DoS attack;
A network management apparatus comprising DoS determination means for determining presence or absence of a DoS attack using at least one of the functions.
上記第1乃至第4の機能による判断結果をコスト値に変換するコスト値変換手段と、
上記各コスト値に、IPアドレス、ポート番号又はアプリケーションに応じた定数を乗算した値の総和を総数として算出する総数算出手段と、
を更に有し、上記総数に応じてDoS攻撃を判断することを更に特徴とする請求項3に記載のネットワーク管理装置。 The DoS determination means is:
Cost value conversion means for converting the determination results by the first to fourth functions into cost values;
A total number calculating means for calculating a total sum of values obtained by multiplying each cost value by a constant corresponding to an IP address, a port number or an application;
The network management device according to claim 3, further comprising: determining a DoS attack according to the total number.
上記トラヒック情報管理手段により管理されているトラヒック情報と現在のトラヒック情報を比較し、両値の差分が予め定められた閾値以上の場合、外部装置に現在及びそれ以降のトラヒック情報を管理させる手段を更に有し、
当該外部装置にてDoS攻撃を判断することを更に特徴とする請求項3又は4のいずれかに記載のネットワーク管理装置。 The DoS determination means is:
A means for comparing the traffic information managed by the traffic information management means with the current traffic information, and if the difference between the two values is greater than or equal to a predetermined threshold, causing the external device to manage the current and subsequent traffic information; In addition,
5. The network management device according to claim 3, further comprising: determining a DoS attack by the external device.
上記ネットワーク管理装置が、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、
この管理されているトラヒック情報と現在のトラヒック情報とを比較し、
比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断し、逆探知用パケットを送出する、
ことを特徴とするネットワーク管理方法。 In a network management method by a network management device that manages traffic information of data transmitted from a terminal device connected via an information communication network,
The network management device is
Collecting and managing the traffic information of the terminal device periodically for each IP address,
Compare this managed traffic information with the current traffic information,
When the difference between the two values compared is greater than or equal to a predetermined threshold, it is determined that the attack is a DoS attack and a reverse detection packet is sent
And a network management method.
上記ネットワーク管理装置が、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、
DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、
上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、
自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、
の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断することを特徴とするネットワーク管理方法。 In a network management method by a network management device that manages traffic information of data transmitted from a terminal device connected via an information communication network,
The network management device is
The traffic information of the terminal device is periodically collected and managed for each IP address, the managed traffic information is compared with the current traffic information, and the difference between the two values as a comparison result is equal to or greater than a predetermined threshold value. A first function in which a DoS attack is determined as a DoS attack determination condition, and an increase or decrease in the number of links to the homepage is further added as a DoS attack determination condition;
A second function for managing a DoS attack history for each IP address and determining the presence or absence of a DoS attack based on the frequency of DoS attacks over a certain period;
A third function for determining the presence or absence of a DoS attack based on the description content of the payload of data received from the terminal device;
A fourth function for monitoring the resources of servers that can be attack targets in its own domain and determining the presence or absence of a DoS attack;
A network management method, wherein the presence or absence of a DoS attack is determined using at least one of the functions.
上記ネットワーク管理装置が、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、
この管理されているトラヒック情報と現在のトラヒック情報とを比較し、
比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断し、逆探知用パケットを送出する、
ためのネットワーク管理プログラム。 In a network management program used for a network management device that manages traffic information of data transmitted from a terminal device connected via an information communication network,
The network management device is
Collecting and managing the traffic information of the terminal device periodically for each IP address,
Compare this managed traffic information with the current traffic information,
When the difference between the two values compared is greater than or equal to a predetermined threshold, it is determined that the attack is a DoS attack, and a reverse detection packet is sent.
Network management program for.
上記ネットワーク管理装置が、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、
DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、
上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、
自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、
の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断するためのネットワーク管理プログラム。 In a network management program used for a network management device that manages traffic information of data transmitted from a terminal device connected via an information communication network,
The network management device is
The traffic information of the terminal device is periodically collected and managed for each IP address, the managed traffic information is compared with the current traffic information, and the difference between the two values as a comparison result is equal to or greater than a predetermined threshold value. A first function in which a DoS attack is determined as a DoS attack determination condition, and an increase or decrease in the number of links to the homepage is further added as a DoS attack determination condition;
A second function for managing a DoS attack history for each IP address and determining the presence or absence of a DoS attack based on the frequency of DoS attacks over a certain period;
A third function for determining the presence or absence of a DoS attack based on the description content of the payload of data received from the terminal device;
A fourth function for monitoring the resources of servers that can be attack targets in its own domain and determining the presence or absence of a DoS attack;
A network management program for determining the presence or absence of a DoS attack using at least one of the functions.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003362173A JP2005130121A (en) | 2003-10-22 | 2003-10-22 | Network management apparatus, method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003362173A JP2005130121A (en) | 2003-10-22 | 2003-10-22 | Network management apparatus, method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005130121A true JP2005130121A (en) | 2005-05-19 |
Family
ID=34641907
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003362173A Pending JP2005130121A (en) | 2003-10-22 | 2003-10-22 | Network management apparatus, method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005130121A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100756462B1 (en) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same |
JP2007249348A (en) * | 2006-03-14 | 2007-09-27 | Nec Corp | Data collection device and method in application trace-back and its program |
JP2013522936A (en) * | 2010-01-21 | 2013-06-13 | アリババ・グループ・ホールディング・リミテッド | Block malicious access |
JP2017534110A (en) * | 2014-10-07 | 2017-11-16 | クラウドマーク インコーポレイテッド | Apparatus and method for identifying resource exhaustion attack of domain name system |
JP2018515984A (en) * | 2015-05-15 | 2018-06-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Methods and devices for defending against network attacks |
CN111343176A (en) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | Network attack countering device, method, storage medium and computer equipment |
CN114095265A (en) * | 2021-11-24 | 2022-02-25 | 中国南方电网有限责任公司超高压输电公司昆明局 | ICMP hidden tunnel detection method, device and computer equipment |
US11552965B2 (en) * | 2017-12-28 | 2023-01-10 | Hitachi, Ltd | Abnormality cause specification support system and abnormality cause specification support method |
-
2003
- 2003-10-22 JP JP2003362173A patent/JP2005130121A/en active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100756462B1 (en) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same |
JP2007249348A (en) * | 2006-03-14 | 2007-09-27 | Nec Corp | Data collection device and method in application trace-back and its program |
JP4670690B2 (en) * | 2006-03-14 | 2011-04-13 | 日本電気株式会社 | Data collection apparatus and method for application traceback and program thereof |
JP2013522936A (en) * | 2010-01-21 | 2013-06-13 | アリババ・グループ・ホールディング・リミテッド | Block malicious access |
JP2017534110A (en) * | 2014-10-07 | 2017-11-16 | クラウドマーク インコーポレイテッド | Apparatus and method for identifying resource exhaustion attack of domain name system |
JP2018515984A (en) * | 2015-05-15 | 2018-06-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Methods and devices for defending against network attacks |
US10931710B2 (en) | 2015-05-15 | 2021-02-23 | Alibaba Group Holding Limited | Method and device for defending against network attacks |
US11552965B2 (en) * | 2017-12-28 | 2023-01-10 | Hitachi, Ltd | Abnormality cause specification support system and abnormality cause specification support method |
CN111343176A (en) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | Network attack countering device, method, storage medium and computer equipment |
CN114095265A (en) * | 2021-11-24 | 2022-02-25 | 中国南方电网有限责任公司超高压输电公司昆明局 | ICMP hidden tunnel detection method, device and computer equipment |
CN114095265B (en) * | 2021-11-24 | 2024-04-05 | 中国南方电网有限责任公司超高压输电公司昆明局 | ICMP hidden tunnel detection method and device and computer equipment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
US10200402B2 (en) | Mitigating network attacks | |
Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
US9742795B1 (en) | Mitigating network attacks | |
US9794281B1 (en) | Identifying sources of network attacks | |
US7636942B2 (en) | Method and system for detecting denial-of-service attack | |
JP4667437B2 (en) | Abnormal traffic detection apparatus, abnormal traffic detection method, and abnormal traffic detection program | |
US9455995B2 (en) | Identifying source of malicious network messages | |
US20050289649A1 (en) | Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus | |
US20060239203A1 (en) | Lightweight packet-drop detection for ad hoc networks | |
KR20110089179A (en) | Network intrusion protection | |
CN107710680A (en) | Network attack defence policies are sent, the method and apparatus of network attack defence | |
JP2009110270A (en) | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method | |
CN106534068A (en) | Method and device for cleaning forged source IP in DDOS (Distributed Denial of Service) defense system | |
CN108270602A (en) | A kind of detection method of data link, apparatus and system | |
Alexander et al. | Off-path round trip time measurement via TCP/IP side channels | |
JP3868939B2 (en) | Device for detecting a failure in a communication network | |
CN111756713B (en) | Network attack identification method and device, computer equipment and medium | |
JP2005130121A (en) | Network management apparatus, method, and program | |
JP3892322B2 (en) | Unauthorized access route analysis system and unauthorized access route analysis method | |
CN113168460A (en) | Method, device and system for data analysis | |
JP6740191B2 (en) | Attack response system and attack response method | |
Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
JP4772025B2 (en) | P2P communication detection device, method and program thereof | |
Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks |